Você está na página 1de 4

PERGUNTAS MAIS FREQUENTES CERTIFICAO NBR ISO/IEC 27001

1. O que segurana da informao? Segundo a norma NBR ISO/IEC 17799:2005, segurana da informao a proteo da informao contra vrios tipos de ameaas de forma a assegurar a continuidade do negcio, minimizando danos comerciais e maximizando o retorno sobre investimentos e oportunidades de negcios. Ainda segundo a NBR ISO/IEC 17799:2005 a segurana da informao caracterizada pela preservao dos trs atributos bsicos da informao: confidencialidade, integridade e disponibilidade. 2. O que a NBR ISO IEC 27001:2006? a norma de certificao para Sistemas de Gesto da Segurana da Informao, editada em portugus em abril de 2006 e que substituiu a BS 7799-2. Esta norma foi preparada para prover um modelo para o estabelecimento, implementao, operao, monitoramento, reviso, manuteno e melhoria de um Sistema de Gesto de Segurana da Informao. A NBR ISO IEC 27001 e NBR ISO IEC 17799 foram o par consistente de normas relativas a Sistema de Gesto de Segurana da Informao. 3. O que NBR ISO/IEC 17799? A NBR ISO/IEC 17799 a verso brasileira da norma ISO homologada pela ABNT, a verso vlida de 2005. o Cdigo de Prtica para Gesto da Segurana da Informao. Serve como referncia para a criao e implementao de prticas de segurana reconhecidas internacionalmente, incluindo: Polticas, Diretrizes, Procedimentos, Controles so um conjunto completo de recomendaes para: Gesto da Segurana de Informao e Controles e prticas para a Segurana da Informao. Ateno: a norma de certificao a NBR ISO IEC 27001:2006, a NBR ISO IEC 17799 somente uma norma de referncia contida na norma de certificao. 4. Qual a importncia que as organizaes do hoje a ISO 27001? Todas as grandes organizaes do mundo, sejam pblicas ou privadas, j tomaram conhecimento sobre as normas ISO. Diversas pesquisas demonstram que muitas dessas organizaes j esto incorporando os controles das normas em suas polticas de segurana. 5. Qual a importncia da ISO 27001? Ela permite que uma empresa construa de forma muito rpida uma poltica de segurana baseada em controles de segurana eficientes. Os outros caminhos para se fazer o mesmo, sem a norma, so constituir uma equipe para pesquisar o assunto ou contratar uma consultoria para realizar essa tarefas. 6. Essas normas se aplicam a qualquer tipo de organizao? As normas foram criadas e se adaptam bem a organizaes comerciais. Instituies de ensino, instituies pblicas e outras assemelhadas podem ter dificuldades em implantar certos controles da norma devido a seus ambientes serem diferentes dos de uma empresa comercial. Apesar disso, qualquer organizao pode aproveitar grande parte dos controles da norma para implementar segurana da informao em suas instalaes. 7. O que SGSI? Sistema de Gesto de Segurana da Informao o resultado da aplicao planejada de objetivos, diretrizes, polticas, procedimentos, modelos e outras medidas administrativas que, de forma conjunta, definem como so reduzidos os riscos para segurana da informao. Uma empresa que implante a norma ISO 27001 acaba por constituir um SGSI. 8. Quais so as etapas para se constituir um SGSI? Em primeiro lugar, deve-se definir quais so seus limites (sua abrangncia fsica, lgica e pessoal). Depois devem ser relacionados os recursos que sero protegidos. Em seguida relaciona-se quais so as possveis ameaas a esses recursos, quais so as vulnerveis a que eles esto submetidos e qual seria o impacto da materializao dessas ameaas. Por fim,com base nessas informaes, so priorizados os controles necessrios para garantir a segurana desses recursos. 9. Para implantar a norma em uma empresa obrigatrio empregar todos os seus controles? No. Aplicam-se somente os controles para os servios, facilidades, espaos e condies existentes na empresa. Por exemplo, se a empresa no tem acesso remoto de usurios, todos os controles referentes a esse tipo de acesso podem ser ignorados. 10. O que a Declarao de Aplicabilidade? um documento exigido pela NBR ISO IEC 27001 no qual a empresa tem que relacionar quais controles do Anexo A so aplicveis e justificar os que no so aplicveis ao seu SGSI. 11. Como obter a norma NBR ISO IEC 27001?

As normas NBR ISO, assim como as de outros pases, tm direitos autorais. As normas da srie NBR ISO devem ser adquiridas na ABNT Associao Brasileira de Normas Tcnicas. 12. Como a ISO 27001 se relaciona com as normas ISO 9000 e ISO 14000? A ISO 27001 harmoniza-se com essas normas na medida que segue a suas estruturas e contedos. A 27001 inclui um PDCA semelhante aos existentes na ISO 9001 e ISO 14000 com objetivo de estabelecer um contnua gesto da segurana da informao. 13. O que PDCA? PDCA (Plan-Do-Check-Act ou Planejar-Executar-Verificar-Agir) um mtodo de gesto que se caracteriza por um ciclo de aes que se repete continuamente de forma a incorporar alteraes no ambiente. Nas normas de gesto acima mencionadas empregado para garantir uma efetiva gesto da empresa. 14. Existe legislao que obrigue o uso da ISO 27001? As leis variam de pas para pas. A rigor no existem leis que obriguem o emprego de tais normas. No Brasil, existem recomendaes no sentido de empregar-se a norma emitidas por entidades como a Fenabam, o Conselho Federal de Medicina, a ICP-Brasil, dentre outros. No Reino Unido, a Data Protection Act promulgada em 1998 e, nos Estados Unidos, a lei Sarbanes-Oxley (que atinge subsidirias de empresas americanas de capital aberto instaladas no Brasil), promulgada em 2002, determinam cuidados no trato das informaes que, na prtica, obrigam as empresas a empregar a ISO 27001/ISO 17799 como uma forma de demonstrarem que esto procurando cumprir os requisitos de segurana determinados por essas leis. 15. O que certificao? A certificao um documento emitido por uma entidade certificadora independente que garante que uma dada empresa implantou corretamente todos os controles da norma aplicveis. A certificao emitida aps uma auditoria externa para verificao da conformidade da empresa com a norma. 16. Para que serve a certificao? Ela comprova, para as empresas certificadas, que a segurana da informao est garantida de forma efetiva, o que no significa, contudo, que a empresa esteja imune a violaes de segurana. Alm disso, a certificao comprova, para os clientes e fornecedores da empresa, o a preocupao que esta tem com a segurana da informao, reforando sua imagem junto ao mercado. Dependendo da atividade da empresa, essa certificao pode ser essencial para a realizao de certos negcios. 17. Pode-se aplicar a ISO 27001 e realizar apenas uma auditoria interna? Sim. Na realidade, a maior parte das empresas a emprega dessa forma, uma vez que elas ainda no identificaram a necessidade ou a possibilidade de realizarem o processo de certificao. 18. Qual o custo de uma certificao? O custo depende de vrios fatores, tal como quanto tempo o responsvel pela certificao necessita para avaliar a conformidade da empresa com relao norma, o tamanho e a complexidade da empresa e de seus sistemas. 19. Muitas empresas j obtiveram a certificao? At o final de 2004, mais de 2017 empresas em todo mundo receberam a certificao BS7799-2 a certificao NBR ISO 27001:2005 at o presente momento somente 1 empresa obteve no mundo, e esta empresa foi no Brasil, Mdulo Security. Informaes atualizadas podem ser obtidas no site www.xisec.com 20. Quantas e quais empresas foram certificadas no Brasil? Cinco empresas brasileiras obtiveram a certificao at 2004: Mdulo Security, Banco Matone, Serasa, Samarco Minerao e Unisys. Sendo que a Mdulo j fez a transio para a NBR ISO IEC 27001. Informaes atualizadas sobre empresas certificadas no Brasil e no mundo podem ser obtidas no site www.xisec.com. 21. Quem concede o certificado? Os certificados so emitidos por entidades certificadoras acreditadas por rgos de credenciamento nacionais ou internacionais aps realizao de auditorias. 22. Como so feitas estas auditorias? A auditoria do Sistema de Gesto da Segurana da Informao dividida em 2 etapas: Auditoria de Documentao, conhecida como Fase 1 e Auditoria de Certificao, conhecida como Fase 2. Podendo existir tambm a Pr-Auditoria, esta por sua vez opcional. 23. O que Auditoria de Documentao?

Em razo do tema abordado esta norma envolve documentos e informaes, muitas vezes, confidenciais, desta forma, fazem-se necessrio uma anlise prvia destes nas instalaes da prpria empresa visando verificao de sua adequao e a segurana dos dados. A Auditoria de Documentao o primeiro contato com a equipe auditora. 24. Qual a diferena entre a Auditoria de Documentao e a Pr-auditoria? A Auditoria de Documentao tem como foco a seguinte documentao: Declarao de Aplicabilidade, Relatrio de Avaliao de Riscos e Anlise Crtica pela Direo entre outros possveis documentos associados a estes, conforme aplicvel. Esta anlise no contempla procedimentos e prticas especficos, uma vez que estes so objeto da Pr-auditoria, que tem por objetivo a anlise crtica da adequao do sistema norma. 25. Pr-auditoria o mesmo que Auditoria de Pr-certificao? Sim. Os dois termos so usados e reconhecidos pelo mercado para identificar um mesmo tipo de auditoria. 26. Quando devo solicitar a Pr-auditoria? Aps a implantao do Sistema de Gesto da Segurana da Informao e aps ter realizado pelo menos um ciclo de auditoria interna e pelo menos uma anlise crtica pela direo a empresa pode solicitar a realizao da Pr-auditoria para verificar o nvel de adequao norma em questo. 27. Minha empresa j possui a certificao pela norma anterior. Tambm posso solicitar uma Pr-auditoria segundo a nova verso? As empresas j certificadas podem solicitar a realizao da Pr-auditoria para verificar o nvel de adequao norma em questo, aps a adequao do Sistema de Gesto da Segurana da Informao e aps ter realizado pelo menos um ciclo de auditoria interna. Recomenda-se que tenha tambm pelo menos uma anlise crtica do sistema j com a nova estrutura. 28. Para que serve a Pr-auditoria? A Pr-auditoria tem como principal objetivo a deteco de eventuais problemas conceituais que possam vir a ser despercebidos pela empresa em processo de certificao. Seria um exemplo de problema conceitual, a no aplicao de um requisito ou controle que influencie na Segurana da Informao da empresa. Isto pode ocorrer em razo de uma incorreta interpretao da norma para o negcio da empresa e/ou escopo considerado(s). No entanto, nestes casos a certificao no pode ser recomendada, causando transtornos para a empresa e uma certa decepo para todos os envolvidos. A fim de reduzir os riscos de no certificao por problemas de adequao, os organismos certificadores em todo o mundo passaram a realizar anlises prvias, estas anlises prvias so chamadas de pr-auditoria. 29. Como feita a pr-auditoria? A Pr-auditoria realizada nas instalaes da empresa e segue os mesmos passos da Auditoria de Certificao: Reunio de Abertura, investigao, relato das no-conformidades e reunio de encerramento. Geralmente a equipe auditora da Pr-auditoria ser a mesma da Anlise Documental e da Auditoria de Certificao.So verificados os procedimentos e a documentao em relao sua adequao norma de referncia. O tempo dimensionado para esta auditoria, normalmente no permite que a equipe auditora tenha tempo para verificar se as prticas descritas na documentao esto adequadamente implementadas isto o que chamamos de auditoria de conformidade, que ser realizada durante a Auditoria de Certificao (Inicial) e nas Auditorias de Manuteno (Anuais ou semestrais). 30. No meu oramento consta uma Pr-auditoria de um dia. Posso solicitar mais um ou dois dias? Sim. A carga horria definida no oramento mnima para checar todos os itens da norma. No entanto, caso a empresa deseje uma anlise mais aprofundada, a carga horria poder ser aumentada sem problema algum. Haver um aumento proporcional no preo do evento. 31. Posso pular a Pr-auditoria e ir direto para a Auditoria de Certificao? Sim. Tomando-se como base a experincia adquirida ao longo do tempo em certificaes de sistemas de gesto, a porm recomenda-se fortemente a realizao da Pr-auditoria, no entanto, se a empresa tem muita segurana na adequao e conformidade do seu sistema de gesto no h problema algum em ir direto para a Auditoria de Certificao. 32. Se o auditor no encontrar problemas na Pr-auditoria posso j receber o certificado? No. A Pr-auditoria tem objetivo distinto da Auditoria de Certificao. A Pr-auditoria verifica a adequao do sistema, no colhendo evidncias suficientes de que as prticas refletem o planejamento contido nos procedimentos. A verificao da implementao feita na Auditoria de Certificao que no pode ser dispensada em nenhum caso.

33. Qual o prazo entre a Auditoria de Documentao e as Auditorias de Pr-certificao, Certificao e Manuteno? Com exceo s Auditorias de Manuteno, que devem ocorrer no mnimo anualmente, no h um prazo expressamente definido para que estes eventos ocorram, e os mesmos podem ser discutidos e acordados, conforme as necessidades de cada empresa. No entanto recomenda-se que a Auditoria de Documentao ocorra pelo menos 30 dias antes da Auditoria de Certificao e, caso seja solicitada, 30 dias antes da Prauditoria. 34. Quem faz parte da equipe auditora? Normalmente, a equipe auditora formada por um ou dois auditores com experincia em auditoria e conhecimentos do segmento de negcio da empresa. Por se tratar de uma norma especfica, as auditorias do Sistema de Gesto de Segurana da Informao devem contar sempre auditores que detenham conhecimentos tcnicos suficientes para compreender a linguagem dos auditados. 35. Onde encontro cursos cursos sobre esta norma? A Fundao Vanzolini mantm cursos abertos e in company para implementao do Sistema de Gesto da Segurana da Informao, formao de Auditores Internos do SGSI e formao de Auditores Lderes NBR ISO/IEC 27001.